littleskunk
Goto Top

Virtuellen PC (VMPlayer) abschotten

Hallo an alle.

Ich habe einen AD-Server und natürlich einige PC. In diesem Netzwerk sollen Schulunge für Azubis (angehende Fachinformatiker) durchgeführt werden. Leider haben Azubis die dumme Angewohnheit so ziemlich alles zu machen was sie nicht machen sollen. Sie in allen Rechten zu beschneiden ist aber auch nicht wirklich gewollt.

Das Problem ist, dass die Azubis sobald sie mehr Rechte bekommen sofort die Freigegebenen Ordner des Servers mit Spielen dicht machen. Speicherplatz ist da genug aber sie Spielen dann nur noch im Seminar. Um das zu unterbinden haben sie keine Downloadberechtigung und keine möglichkeit einen Datenträger anzuschließen. Nun gibt es aber auch Seminar wie "Installation und Konfiguration von XP". Dafür brauchen sie dann ja PCs die nicht Mitglied der Domäne sind. dafür Bietet sich VMWare-Player an. Nun soll dieser PC aber auch Netzwerk haben.

Ist es möglich die Freigaben des Servers nur für die PC der Domäne frei zu geben? (Soweit ich das gesehen habe muss ich bei der Freigabe nicht jeder sondern Domänencomputer eintragen. Hab ich aber noch nicht getestet)
Wie kann ich verhindern, dass die PC der Domäne auf Freigaben anderer (nicht Domänen) PC.

Ich danke schonmal im Vorraus.

Content-Key: 60799

Url: https://administrator.de/contentid/60799

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: DerSchorsch
DerSchorsch 07.06.2007 um 15:41:03 Uhr
Goto Top
Hallo,

spontane (ungetestete) Idee:
Konfiguriere über Gruppenrichtlinien das Netz so, dass die Domänen-Computer und -Server
nur über IPSec kommunizieren dürfen. Authentifizierung über Kerberos (AD).
Damit können dann Nicht-Domainmitglieder gar keine Verbindung mehr zum Server aufbauen.

Freigabe-Berechtigungen auf Domänencomputer umzustellen hilft nicht, da das Benutzerkonto verwendet wird. Stellst du das so ein, dürften die Benutzer selbst dann nicht mehr, wenn sie an einem Domänen-PC sitzen.

Gruß,
Schorsch
Mitglied: LittleSkunk
LittleSkunk 07.06.2007 um 16:19:40 Uhr
Goto Top
Danke für die schnelle Antwort. So wie es aussieht ist das genau das was ich brauche. Ich habe sowas allerding auch noch nie gemacht. Die entsprechende Gruppenrichtlienie habe ich auch schon gefunden aber ich weiß nicht wie ich diese Konfigurieren soll. Soweit ich da durchblicke, muss ich angeben welche Packete geblockt werden sollen und welche nicht.

In meinem Fall also alles Blocken nur den Proxy, Ris, DHCP und die Verbindung zum übernehmen der Gruppenrichtlienien. Für den Ris Server muss aber eine Freigabe des Servers ereichbar sein auch wenn der PC zu diesem Zeitpunkt der AD noch nicht beigetreten ist. Geht das? Gibt es eventuell zu empfehlende Toturials. Ich hab beim googlen nur flüchtig eins überlesen aber das war Englisch und zu oberflächlich.
Mitglied: DerSchorsch
DerSchorsch 07.06.2007 um 17:09:42 Uhr
Goto Top
Hallo,

das mit dem RIS weiss ich nicht genau, aber kopiert der RIS nicht über TFTP (UDP-Port 69)? Oder ist das nur am Anfang?

Für IPSec hätte ich da noch folgende Links:
Empfehlungen für IPsec
Server- und Domänenisolierung mithilfe von IPSec
Sicherheit erhöhen mit IPsec
Neue Funktionen für IPSec

ist sicher nicht ganz trivial. Vor allem beim RIS ist zu prüfen, wie der überhaupt kommuniziert. Du kannst IPSec ja nur auf Protokolle und Ports einstellen, nicht aber auf die Freigaben, auf die damit zugegriffen wird. Das ist ja eine ganz andere Ebene.

Gruß,
Schorsch
Mitglied: n.o.b.o.d.y
n.o.b.o.d.y 08.06.2007 um 06:32:15 Uhr
Goto Top
Moin!

das mit dem RIS weiss ich nicht genau, aber
kopiert der RIS nicht über TFTP
(UDP-Port 69)? Oder ist das nur am Anfang?

Anfangen tut RIS mit TFTP, wenn dann das grafische Setup läuft wird SMB benutzt.

Ralf
Mitglied: DerSchorsch
DerSchorsch 08.06.2007 um 11:00:48 Uhr
Goto Top
Hallo,

Ist natürlich in diesem Falle blöd, wenn der RIS auch den normalen SMB-Verkehr nutzt.
Wenn noch ein anderer Server (muss ja kein großer sein) zur Verfügung stehen würde, könnte man den für RIS nutzen und hier kein IPsec erzwingen.

Noch jemand eine Idee?

Gruß,
Schorsch
Mitglied: LittleSkunk
LittleSkunk 08.06.2007 um 13:49:27 Uhr
Goto Top
Ich hab es bisher nur flüchtig testen können und ich glaube der DHCP wird standartmäßig nicht geblockt. Dem Ris hats wohl auch nicht interressiert. Warscheinlich ist der PC vor dem Installieren nach dem Ris Menü bereits in der Domäne drin. Aber wie gesagt ich habs nur flüchtig getestet und weiß nicht ob alle Einstellung übernommen worden. Wenn ich Glück hab ist nächste Woche ein Seminarraum frei. Es ist auf jedenfall der richtige Weg. Ein Problem habe ich aber noch. Der Proxy funktioniert jetzt logischerweise nur noch für Domänenmitglieder. Ich hab versucht ihm beizubringen den entsprechenden Port freizugeben (TCP) hat aber leider nicht funktioniert. Entweder bin ich zu blöd zum Freigeben oder ich hab den falschen Port bzw Protokoll erwischt. Um ersteres auszuschließen:

Quelle Server
Ziel Beliebig
Häckchen bei "auch in Gegenrichtung" (heißt irgendwie anders)
Permit
TCP 3128 (Jana Proxy)

Das Protokoll ist nur geraten soviel Auswahl gibt es da ja nicht.

Vorschläge?

Falls das nicht funktioniert ist auch nicht so schlimm. Dann haben die Azubis halt pech gehabt... Die Freigaben sind jetzt jedenfalls abgesichert. Es gehen keine Daten rein und auch nicht raus. So muss es sein. Interressant ist nur noch ob das auch für den VPC gilt aber wie gesagt das kann ich vermutlich erst nächste Woche testen.
Mitglied: DerSchorsch
DerSchorsch 08.06.2007 um 17:04:49 Uhr
Goto Top
Hallo,

toll, dass es soweit klappt.
Bei der Proxy-Freigabe würde ich sagen, du hast Quelle und Ziel vertauscht.

Sag Bescheid, wie es mit den VPCs funktioniert.

Gruß,
Schorsch